Cos’è l’AI Act e perché riguarda la tua PMI #
Il Regolamento UE sull’Intelligenza Artificiale (AI Act, Reg. UE 2024/1689) è la prima legge al mondo che regola l’intelligenza artificiale. Non riguarda solo le Big Tech: si applica a chiunque sviluppi o utilizzi sistemi AI nell’Unione Europea, dalla startup al grande ospedale.
Se la tua azienda usa ChatGPT, un assistente AI, un sistema di classificazione automatica o un chatbot per i clienti, l’AI Act ti riguarda.
Perché non puoi ignorarlo #
- Le sanzioni arrivano fino a 35 milioni di euro (o il 7% del fatturato globale)
- L’obbligo di AI literacy è già in vigore dal febbraio 2025
- Gli obblighi completi per i sistemi ad alto rischio scattano ad agosto 2026
- I tuoi clienti e partner inizieranno a chiedere evidenza di conformità
Timeline: cosa cambia e quando #
L’AI Act si applica gradualmente. Ecco le date che contano per la tua PMI:
Già in vigore (febbraio 2025) #
Divieto di pratiche AI inaccettabili:
- Manipolazione subliminale che causa danni
- Sfruttamento di vulnerabilità (età, disabilità)
- Social scoring da parte di enti pubblici
- Riconoscimento facciale in tempo reale (con eccezioni per sicurezza)
Obbligo di AI literacy (art. 4): Tutte le organizzazioni devono garantire che il personale che utilizza o supervisiona sistemi AI abbia un “livello sufficiente di alfabetizzazione in materia di AI”. Questo vale per tutte le aziende, indipendentemente dalla dimensione.
In pratica: se i tuoi dipendenti usano ChatGPT, Copilot, o qualsiasi altro strumento AI, devi dimostrare che hanno ricevuto formazione adeguata.
Agosto 2025: modelli general-purpose #
I fornitori di modelli AI general-purpose (GPAI) — come GPT-4, LLaMA, Mistral — devono:
- Documentare il processo di addestramento
- Rispettare le norme sul diritto d’autore
- Pubblicare una sintesi dei dati di addestramento
Questo impatta indirettamente le PMI: i modelli che usi devono essere conformi. Usare modelli open-source documentati (come quelli su cui gira ORCA) semplifica la verifica.
Agosto 2026: obblighi completi per alto rischio #
Questa è la scadenza critica. I sistemi AI classificati ad alto rischio devono rispettare requisiti stringenti.
Come funziona la classificazione del rischio #
L’AI Act classifica i sistemi AI in quattro livelli. La categoria dipende dall’uso, non dallo strumento.
Rischio inaccettabile (vietato) #
Pratiche completamente proibite:
- Manipolazione comportamentale subliminale
- Social scoring governativo
- Polizia predittiva basata solo su profilazione
Alto rischio #
Sistemi AI che impattano diritti fondamentali delle persone:
| Ambito | Esempi |
|---|---|
| Selezione personale | CV screening automatico, ranking candidati |
| Credito | Valutazione del merito creditizio |
| Sanità | Supporto diagnostico, triage automatico |
| Istruzione | Valutazione studenti, ammissioni |
| Infrastrutture critiche | Gestione reti elettriche, trasporti |
| Giustizia | Sistemi di supporto alle decisioni giudiziarie |
Obblighi per i sistemi ad alto rischio:
- Sistema di gestione del rischio
- Governance dei dati di addestramento
- Documentazione tecnica completa
- Registrazione automatica degli eventi (logging)
- Trasparenza e informazione agli utenti
- Supervisione umana
- Accuratezza, robustezza e cybersicurezza
- Registrazione nella banca dati UE
Rischio limitato #
Sistemi con obblighi di trasparenza:
- Chatbot: l’utente deve sapere che interagisce con un’AI
- Deepfake: devono essere etichettati
- Contenuti generati dall’AI: devono essere identificabili
Rischio minimo #
La maggior parte dei sistemi AI. Nessun obbligo specifico:
- AI per bozze di email
- Traduzione automatica
- Correzione ortografica
- Brainstorming e generazione di idee
Cosa deve fare la tua PMI adesso #
1. Mappa gli strumenti AI in uso #
Fai un inventario di tutti gli strumenti AI usati in azienda — inclusi quelli non autorizzati (shadow AI). Per ogni strumento, documenta:
- Chi lo usa e per cosa
- Quali dati vengono elaborati
- Se le decisioni impattano persone fisiche
2. Classifica gli usi per livello di rischio #
Lo stesso strumento può ricadere in categorie diverse a seconda dell’uso:
| Uso di ChatGPT | Livello di rischio |
|---|---|
| Scrivere bozze di email | Minimo |
| Riassumere documenti interni | Limitato (obbligo trasparenza) |
| Selezionare candidati da un pool | Alto rischio |
| Classificare pazienti per priorità | Alto rischio |
3. Avvia la formazione AI literacy #
L’obbligo è già in vigore. La formazione deve coprire:
- Cos’è l’AI e come funziona (concetti base)
- Rischi e limitazioni degli strumenti AI
- Policy aziendale sull’uso dell’AI
- Obblighi GDPR e AI Act rilevanti per il ruolo
4. Scrivi una policy aziendale sull’AI #
Il documento deve definire:
- Quali strumenti AI sono autorizzati
- Quali dati possono essere elaborati con l’AI
- Chi supervisiona l’uso dell’AI
- Come segnalare problemi o incidenti
- Procedure per gli usi ad alto rischio
5. Valuta l’infrastruttura AI #
Se usi ChatGPT o altri servizi cloud americani per elaborare dati sensibili, hai un doppio problema: GDPR (trasferimento extra-UE) e AI Act (mancanza di controllo). Una soluzione di AI privata risolve entrambi.
Come l’AI privata semplifica la conformità #
L’AI privata — on-premise o in cloud europeo — non è solo una questione di privacy. È lo strumento che rende la conformità all’AI Act gestibile per una PMI.
GDPR + AI Act: due problemi, una soluzione #
| Requisito | ChatGPT (cloud USA) | AI privata (on-premise/EU) |
|---|---|---|
| Trasferimento dati extra-UE | Sì (rischio) | No |
| Audit trail completo | Parziale | Sì |
| Supervisione umana | Limitata | Integrata |
| Documentazione tecnica | Non disponibile | Sotto il tuo controllo |
| Governance dati | Delegata a OpenAI | Sotto il tuo controllo |
| AI literacy | Responsabilità tua | Supportata dal fornitore |
Le soluzioni HTX per la conformità #
ORCA — il chatbot aziendale privato. Come ChatGPT, ma i dati restano in Europa. Conforme GDPR e AI Act by design. Per gli usi a rischio minimo e limitato.
KOI — classificazione AI per la sanità. Supporto decisionale con supervisione umana integrata, audit trail completo. Progettato per gli usi ad alto rischio in ambito clinico. Attualmente Research Use Only (RUO), dispositivo medico previsto per il 2027.
MANTA — interroga database in linguaggio naturale. Query SQL validate e sanitizzate, nessun accesso non autorizzato. Per business intelligence conforme.
Tutti girano su PRISMA, l’infrastruttura AI privata di HTX: on-premise o cloud europeo, crittografia end-to-end, zero data leakage.
Le sandbox regolamentari: un’opportunità per le PMI #
L’AI Act prevede sandbox regolamentari (art. 57): ambienti controllati dove le PMI possono testare sistemi AI innovativi con la supervisione delle autorità, senza rischiare sanzioni durante la sperimentazione.
Ogni Stato membro UE deve istituire almeno una sandbox entro agosto 2026. Le PMI hanno accesso prioritario.
In Italia, il Garante Privacy ha già avviato consultazioni per definire le sandbox. Per le PMI che vogliono innovare con l’AI senza rischi, è un’opportunità da monitorare.
Sanzioni: cosa rischia chi non si adegua #
Le sanzioni AI Act sono proporzionate alla gravità e alla dimensione dell’azienda:
| Tipo di violazione | Sanzione massima |
|---|---|
| Pratiche vietate (art. 5) | 35 milioni di euro o 7% del fatturato globale |
| Sistemi ad alto rischio non conformi | 15 milioni di euro o 3% del fatturato |
| Informazioni errate alle autorità | 7,5 milioni di euro o 1% del fatturato |
Per le PMI e le startup, si applica sempre l’importo più basso tra cifra fissa e percentuale del fatturato. Ma anche così, le cifre sono significative per una PMI italiana.
La buona notizia: le autorità hanno dichiarato che l’approccio iniziale sarà orientato alla guida e all’accompagnamento, non alla sanzione immediata. Ma questo non significa che puoi aspettare.
Checklist AI Act per PMI #
- Inventario AI completato: tutti gli strumenti AI mappati
- Classificazione rischio: ogni uso classificato (minimo/limitato/alto)
- Formazione AI literacy: personale formato (obbligo dal feb 2025)
- Policy aziendale AI: documento scritto e comunicato
- Valutazione GDPR: trasferimenti extra-UE identificati e gestiti
- Infrastruttura: soluzione AI privata valutata per usi sensibili
- Sandbox: opportunità di sandbox regolamentaria monitorata
- Calendario: scadenze agosto 2026 pianificate
Vuoi saperne di più? #
Se la tua PMI usa strumenti AI e vuoi capire come adeguarti all’AI Act senza bloccare l’innovazione, scrivici. Ti aiutiamo a mappare i rischi, scegliere l’infrastruttura giusta e formare il tuo team.
Questo articolo è stato scritto dal team di HTX — Human Technology eXcellence. Progettiamo sistemi di intelligenza artificiale privata per sanità e industria, dal nostro datacenter a Trieste. Le informazioni in questo articolo hanno carattere divulgativo e non costituiscono consulenza legale.
Domande frequenti #
L'AI Act si applica alle PMI?
Sì. L'AI Act si applica a tutte le organizzazioni che sviluppano o utilizzano sistemi AI nell'UE, indipendentemente dalla dimensione. Le PMI beneficiano di sandbox regolamentari e sanzioni proporzionate, ma gli obblighi di base — come l'AI literacy — sono identici.
Quali sono le scadenze principali dell'AI Act?
Febbraio 2025: divieto pratiche inaccettabili e obbligo AI literacy. Agosto 2025: obblighi per modelli general-purpose (GPAI). Agosto 2026: obblighi completi per sistemi ad alto rischio, inclusi trasparenza, supervisione umana e valutazione d'impatto.
L'AI Act riguarda anche chi usa ChatGPT in azienda?
Sì. L'AI Act regola sia i fornitori sia gli utilizzatori di sistemi AI. Se usi ChatGPT per prendere decisioni che impattano le persone (selezione personale, valutazione credito, diagnostica), l'uso ricade nella categoria ad alto rischio con obblighi specifici.
Cosa rischia una PMI che non si adegua all'AI Act?
Le sanzioni vanno da 7,5 milioni (informazioni errate) a 35 milioni di euro (pratiche vietate). Per le PMI si applica sempre l'importo più basso tra cifra fissa e percentuale del fatturato, ma anche questo può essere significativo.
Come semplifica l'AI privata la conformità all'AI Act?
L'AI privata (on-premise o cloud EU) elimina il trasferimento dati extra-UE, garantisce audit trail completo, facilita la supervisione umana e semplifica la documentazione richiesta dall'AI Act. Con soluzioni come ORCA di HTX, la conformità è integrata nel design.